设计 Extranet 场拓扑 (Windows SharePoint Services)

  • 项目

本文内容:

  • 关于 Extranet 环境

  • 规划 Extranet 环境

  • 边缘防火墙拓扑

  • 后端到后端外围拓扑

  • 拆分后端到后端拓扑

在使用以下模型时可参考本文:SharePoint 产品和技术的 Extranet 拓扑(该链接可能指向英文页面) (https://go.microsoft.com/fwlink/?linkid=73153&clcid=0x804)(该链接可能指向英文页面)。

关于 Extranet 环境

Extranet 环境是经过安全扩展的专用网络,可用于与远程员工、外部合作伙伴或客户共享部分组织信息或流程。通过使用 Extranet,您可以共享 Windows SharePoint Services 3.0 承载的任何类型的内容,包括文档、列表、库、日历、博客和 Wiki。

下表描述了 Extranet 为各方带来的好处。

远程员工

远程员工可以随时随地访问企业信息和电子资源,而不需要虚拟专用网络 (VPN)。远程员工包括:

  • 出差的销售人员。

  • 在家里或在客户方办公的员工。

  • 所处地理位置分散的虚拟团队。

外部合作伙伴

外部合作伙伴可以参与业务流程并与您组织中的员工进行协作。您可以通过以下方法,使用 Extranet 提高数据安全性:

  • 应用适当的安全性和用户界面组件以分离出合作伙伴并隔离内部数据。

  • 仅授权合作伙伴使用其参与事项所需的网站和数据。

  • 限制合作伙伴查看其他合作伙伴的数据。

通过以下方法,您可以优化流程和网站来与合作伙伴进行协作:

  • 使您组织的员工和合作伙伴员工都可以查看、更改、添加和删除内容,从而促进两家公司实现成功。

  • 配置警报,在内容发生更改或启动工作流时通知用户。

客户

使客户能够访问网站:

  • 提供对业务相关信息的匿名访问。

  • 允许客户端登录并参与工作流。

Windows SharePoint Services 3.0 中具有灵活的选项,可用于配置对网站的 Extranet 访问。您可以允许对服务器场中的部分网站进行面向 Internet 的访问,或允许通过 Internet 访问服务器场中的所有内容。您可以在企业网络内部承载 Extranet 内容并通过边缘防火墙允许对其进行访问,也可以隔离外围网络中的服务器场。

规划 Extranet 环境

本文其余部分将讨论已经过 Windows SharePoint Services 3.0 测试的特定 Extranet 拓扑。本文讨论的拓扑可帮助您了解 Windows SharePoint Services 3.0 中提供的选项,包括要求和优缺点。

以下部分将重点介绍 Extranet 环境的其他规划活动。

规划网络边缘技术

在每种拓扑中,所阐述的网络边缘技术是 Microsoft Forefront Edge 产品套件中的以下一种或两种产品:Microsoft Internet Security and Acceleration (ISA) Server 和 Intelligent Application Gateway (IAG) 2007。有关这些 Microsoft Forefront Edge 产品的详细信息,请参阅下面的资源:

备注

您可以将其替换为其他网络边缘技术。

IAG Server 提供以下附加功能:

  • 防止信息泄露:客户端计算机上不遗留任何内容,并删除所有缓存、临时文件以及 cookie。

  • 端点、基于运行状况的授权:管理员可以定义访问策略,该访问策略不仅基于用户的标识和所公开的信息,也基于客户端计算机的状况。

  • 从 Outlook Web Access 访问 SharePoint 网站:用户可以借助 Outlook Web Access,通过在电子邮件中发送的链接访问 SharePoint 网站。IAG 为指向内部 URL 的链接提供链接转换。

  • 统一的门户:在登录后,IAG 向每个用户提供针对该用户可用和授权的 SharePoint 网站和其他应用程序的列表。

下表汇总各服务器之间的差异。

功能 ISA 2006 IAG 2007

使用 HTTPS 发布 Web 应用程序

X

X

将内部移动应用程序发布到漫游的移动设备

X

X

第 3 层防火墙

X

X*

出站方案支持

X

X*

阵列支持

X

全球化和管理控制台本地化

X

用于发布 SharePoint 网站和 Exchange 的向导和预定义设置

X

X

用于发布各种应用程序的向导和预定义设置

X

Active Directory 联合身份验证服务 (ADFS) 支持

X

丰富的身份验证(例如,一次性密码、基于表单、智能卡)

X

X

应用程序保护(Web 应用程序防火墙)

基本

完整

端点运行状况检测

X

防止信息泄露

X

精细的访问策略

X

统一的门户

X

* ISA 支持,已包括在 IAG 2007 中。

规划身份验证和逻辑体系结构

除了选择或设计 Extranet 拓扑之外,您还需要设计身份验证策略和逻辑体系结构,从而使内部网络以外的目标用户可以进行访问,并保证服务器场上网站和内容的安全。有关详细信息,请参阅以下文章:

规划域信任关系

当服务器场位于外围网络内部时,该网络需要自己的 Active Directory 目录服务基础结构和域。通常,外围域和企业域没有配置为相互信任。但在配置单向信任以使外围域信任企业域后,可以使用 Windows 身份验证根据企业域凭据对内部员工和远程员工进行身份验证。此外,还可以选择使用表单身份验证或 Web 单一登录 (SSO) 对员工进行身份验证。还可以使用这些方法针对内部域目录服务进行身份验证。

下表总结了这些身份验证选项并指明是否需要信任关系。

应用场景 说明

Windows 身份验证

如果外围域信任企业网络域,您可以通过使用内部和远程员工的公司域凭据来验证其身份。

表单身份验证和 Web SSO

您可以使用表单身份验证和 Web SSO 针对内部 Active Directory 环境对内部员工和远程员工进行身份验证。例如您可以使用 Web SSO 连接到 Active Directory 联合身份验证服务 (ADFS)。使用表单身份验证或 Web SSO 不 需要域之间的信任关系。

但是,对于不同的身份验证提供程序,Windows SharePoint Services 3.0 的某些功能可能无法使用。有关在使用表单身份验证或 Web SSO 时可能会受影响的功能的详细信息,请参阅为 Web 应用程序规划身份验证设置 (Windows SharePoint Services)

有关在 Extranet 环境中配置单向信任关系的详细信息,请参阅为 Extranet 环境规划安全强化措施 (Windows SharePoint Services)

规划可用性

本文中所描述的 Extranet 拓扑旨在说明:

  • 服务器场在整个网络中所处的位置。

  • 每个服务器角色在 Extranet 环境中的位置。

本文并非用来帮助您规划需要部署哪些服务器角色,或帮助您规划需要为每个角色部署多少台服务器以实现冗余。在确定您的环境需要多少个服务器场后,可借助以下文章来规划每个服务器场的拓扑:规划冗余 (Windows SharePoint Services)

规划安全强化

设计完 Extranet 拓扑之后,请使用以下资源来规划安全强化:

边缘防火墙拓扑

这种配置在 Internet 和企业网络之间的边界采用反向代理服务器,用来截取请求并将其转发到位于 Intranet 中的适当的 Web 服务器。通过使用一组可配置规则,代理服务器将验证是否已根据发出请求的区域允许了请求的 URL。然后,所请求的 URL 将被转换为内部 URL。下图说明了边缘防火墙拓扑。

Extranet 场拓扑 - 边缘防火墙

优点

  • 最简单的解决方案,所需的硬件和配置最少。

  • 整个服务器场都位于企业网络内部。

  • 单个数据点:

    • 数据位于受信任网络内部。

    • 在一个位置进行数据维护。

    • 内部和外部请求使用一个服务器场,这确保所有授权的用户都查看相同的内容。

  • 不通过代理服务器传递内部用户请求。

缺点

  • 导致单个防火墙将企业内部网络与 Internet 隔离。

后端到后端外围拓扑

后端到后端外围拓扑将服务器场隔离到单独的外围网络中,如下图所示。

后端到后端外围拓扑

这种拓扑具有以下特点:

  • 所有硬件和数据都位于外围网络中。

  • 服务器场角色和网络基础结构服务器可以分别位于多层。将网络层合并可降低复杂性和成本。

  • 可以通过其他传送器或防火墙分隔每一层,从而确保只允许发自特定层的请求。

  • 可以将来自内部网络的请求指向通过面向内部的 ISA 服务器或通过外围网络的公共接口传送。

优点

  • 内容被隔离到 Extranet 上的单个场中,简化了 Intranet 和 Extranet 的内容共享和维护。

  • 外部用户访问被隔离到外围网络。

  • 如果 Extranet 受到威胁,损坏可能仅限于受影响的层或外围网络。

  • 通过使用单独的 Active Directory 基础结构,可以在不影响内部企业目录的情况下创建外部用户帐户。

缺点

  • 需要额外的网络基础结构和配置。

拆分后端到后端拓扑

此拓扑将在外围网络和企业网络之间对服务器场进行拆分。运行 Microsoft SQL Server 数据库软件的计算机位于企业网络内部,Web 服务器位于外围网络中,而搜索服务器既可以位于外围网络中,也可以位于企业网络中。

拆分后端到后端拓扑

在上面的图中:

  • 搜索服务器位于外围网络内。这一选择由虚线内的蓝色服务器表示。

  • 可以选择将搜索服务器与数据库服务器一起部署在企业网络内。这一选择由虚线内的灰色服务器表示。如果将搜索服务器与数据库服务器一起部署在企业网络中,则还必须具有 Active Directory 环境以支持这些服务器(由企业网络内的灰色服务器表示)。

如果在外围网络和企业网络之间对服务器场进行拆分,并且数据库服务器位于企业网络内,则在使用 Windows 帐户访问 SQL Server 时,需要域信任关系。在此应用场景中,外围域必须信任企业域。如果使用 SQL 身份验证,则不需要域信任关系。有关为此拓扑配置帐户的详细信息,请参阅为 Extranet 环境规划安全强化措施 (Windows SharePoint Services) 一文中的“域信任关系”。

若要优化搜索性能和爬网操作,请将搜索服务器角色与数据库服务器一起放置在企业网络内。您还可以将 Web 服务器角色添加到企业网络内部的搜索服务器,并将该 Web 服务器配置为专供搜索服务器角色进行内容爬网使用。如果将 Web 服务器放置在外围网络内,并将搜索服务器角色放在企业网络内,则您必须配置一个单向信任关系,从而使外围网络域信任企业网络域。在这种应用场景中,需要此单向信任关系来支持场中的服务器间通信,而不管您是使用 Windows 身份验证还是 SQL 身份验证来访问 SQL Server。

优点

拆分后端到后端拓扑的优点包括:

  • 运行 SQL Server 的计算机不位于外围网络内部。

  • 企业网络和外围网络中的场组件可以共享相同的数据库。

  • 通过单独的 Active Directory 基础结构,可以在不影响企业内部目录的情况下创建外部用户帐户。

缺点

  • 极大地增加了解决方案的复杂程度。

  • 破坏外围网络资源的入侵者可能通过使用服务器场帐户,访问到企业网络中存储的场内容。

  • 通常在两个域之间拆分服务器场间通信。

下载此书籍

本主题包含在以下可下载书籍内,以方便您阅读和打印:

有关可下载书籍的完整列表,请参阅 Windows SharePoint Services 的可下载书籍(该链接可能指向英文页面)